Des chercheurs en sécurité piratent la plaque d’immatriculation numérique Reviver

Quelques mois seulement après leur lancement officiel, un chercheur en sécurité et ses amis ont réussi à créer les nouvelles plaques d’immatriculation numériques de la Californie.

Oui, depuis plusieurs années, Cali est sur une mission bizarre numériser ses plaques d’immatriculation. Les partisans affirment que cet effort de modernisation offrira une foule d’avantages aux conducteurs, y compris la «personnalisation visuelle» et le renouvellement facile de l’inscription dans l’application, mais les experts en sécurité ont longtemps averti que si vous connectez vos assiettes au Web, quelqu’un essaiera inévitablement de les déranger.

Aujourd’hui, quelques mois seulement après que la législature californienne a adopté une loi légaliser les plaques numériquesc’est exactement ce qui s’est passé.

Dans un article de blog publié la semaine dernière, le chasseur de bogues Sam Curry a noté que lui et ses amis avaient récemment réussi à obtenir un « accès super administratif complet » à tous les comptes d’utilisateurs liés à Revivrel’entrepreneur numérique responsable de la vente des plaques modernisées de la Californie.

Reviver vend une chose appelée RPlate, ou une « plaque intelligente ». Fondamentalement, il s’agit d’un affichage numérique alimenté par batterie qui est fixé à l’arrière d’un véhicule et projette ensuite les informations de la voiture. La plaque permet aux utilisateurs de partager différents graphiques et mots sur la plaque, et est également livrée avec une application qui inclut des fonctionnalités de surveillance et de sécurité de la voiture. Le tarif en vigueur pour l’une de ces choses, qui sont également disponibles en Arizona et au Michigan, est de 20 $ par mois, selon le site Web de Reviver.

Malheureusement, la solution coûteuse et de haute technologie de Reviver présente également des problèmes de haute technologie. Curry et ses amis ont enquêté sur l’application et le site Web Reviver, découvrant une vulnérabilité qui leur permettait d’obtenir un accès administratif complet à « tous les comptes d’utilisateurs et véhicules pour tous les véhicules connectés Reviver ».

Que pourraient-ils faire avec cet accès ? Entre autres choses, ils ont découvert qu’ils avaient le pouvoir de suivre les emplacements GPS de chaque utilisateur enregistré, de manipuler les données sur les plaques des utilisateurs et même de signaler des véhicules spécifiques comme volés (Reviver dispose d’une fonctionnalité intégrée à l’application qui permet de signaler les voitures comme volé aux autorités).

« Un attaquant réel pourrait mettre à jour, suivre ou supprimer à distance la plaque REVIVER de n’importe qui », écrit Curry. « Nous pourrions en outre accéder à n’importe quel concessionnaire (par exemple, les concessionnaires Mercedes-Benz emballent souvent des plaques REVIVER) et mettre à jour l’image par défaut utilisée par le concessionnaire lorsque le véhicule nouvellement acheté avait encore des étiquettes DEALER. »

Gizmodo a contacté Reviver pour un commentaire mais n’a pas eu de réponse. Dans une déclaration fournie à Motherboard, la société admis qu’il avait corrigé des vulnérabilités logicielles qui permettaient à l’intrusion d’avoir lieu.

« Nous sommes fiers de la réponse rapide de notre équipe, qui a corrigé notre application en moins de 24 heures et a pris des mesures supplémentaires pour éviter que cela ne se reproduise à l’avenir. Notre enquête a confirmé que cette vulnérabilité potentielle n’a pas été utilisée à mauvais escient. Les informations des clients n’ont pas été affectées et il n’y a aucune preuve de risque continu lié à ce rapport », indique partiellement le communiqué.

Soyons honnêtes : certaines choses n’ont vraiment pas besoin d’être numérisées. Aussi ennuyeux que cela puisse paraître, je pense que je vais m’en tenir à des balises non piratables dans un avenir prévisible.